Die Verordnung 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren – kurz E-Evidence-Verordnung ("E-Evidence-VO") – ist zum 18. August 2023 in Kraft getreten. Nach einer Übergangszeit von drei Jahren wird sie ab dem 18. August 2026 für alle EU-Mitgliedstaaten verbindlich gelten.
Ziel der E-Evidence-VO ist es, elektronische Beweismittel schneller und wirksamer zu sichern. Laut Angaben des Europäischen Rates werden bei 85% aller strafrechtlichen Ermittlungen digitale Daten relevant. Häufig befinden sich diese digitalen Daten jedoch nicht im Inland. Aus dem Commission Staff Working Document der Europäischen Kommission vom 17. April 2018 ergibt sich, dass in 65 % aller Ermittlungsverfahren, in denen digitale Daten von Bedeutung werden, ein Ersuchen an Dienstanbieter mit Sitz im europäischen Ausland erforderlich wird. Die transnationale Beweiserhebung erfolgt bei den Strafverfolgungsbehörden trotz der Europäischen Ermittlungsanordnung noch schleppend. Die E-Evidence-VO verpflichtet nunmehr Dienstanbieter innerhalb kurzer Fristen Beweismittel herauszugeben und oder zu sichern. Hierzu heißt es in den Erwägungsgründen der E-Evidence-VO:
"[…] Die Einholung elektronischer Beweismittel über Kanäle der justiziellen Zusammenarbeit dauert häufig lange, was dazu führen kann, dass die sich daraus ergebenden Indizien unter Umständen nicht mehr zur Verfügung stehen. Zudem gibt es keinen harmonisierten Rahmen für die Zusammenarbeit mit Diensteanbietern, während einige Anbieter aus Drittstaaten direkte Ersuchen um andere Daten als Inhaltsdaten, die nach geltendem nationalem Recht zulässig sind, akzeptieren. […]
[…] Der fragmentierte Rechtsrahmen stellt Strafverfolgungsbehörden, Justizbehörden und Diensteanbieter, die zulässigen Ersuchen um elektronische Beweismittel Folge leisten wollen, vor Probleme, da sie sich zunehmend mit Rechtsunsicherheit und möglichen Gesetzeskollisionen konfrontiert sehen. Daher müssen gesonderte Vorschriften für die grenzüberschreitende justizielle Zusammenarbeit zur Sicherung und Herausgabe elektronischer Beweismittel eingeführt werden, die dem besonderen Charakter elektronischer Beweismittel gerecht werden. […]".
Die E-Evidence-VO führt zwei Instrumente ein, die die transnationale Beweiserhebung von elektronischen Beweismitteln erleichtern sollen:
Adressat der Europäischen Herausgabe- und Sicherungsanordnungen sind Dienstanbieter im Sinne von Art. 3 Nr. 3.
Die Europäischen Herausgabe- und Sicherungsanordnungen müssen jeweils
Darüber hinaus fordert einzig die Europäische Herausgabeanordnung noch weitere Voraussetzungen, die von der Art des elektronischen Beweismittelns abhängen. Hier ist zu differenzieren zwischen Teilnehmer- und Identifizierungsdaten, Verkehrsdaten und Inhaltsdaten (siehe 1.1 bis 1.3). Auch eine Benachrichtigungspflicht sieht die E-Evidence-VO nur für die Europäische Herausgabeanordnung vor (siehe 1.4).
1.1 Teilnehmer- und Identifizierungsdaten
Teilnehmer- und Identifizierungsdatendaten sind alle Daten, die bei einem Diensteanbieter über die Teilnahme an seinen Diensten vorliegen, die die Identität des Nutzers sowie die Art der Dienstleistung und ihre Dauer sowie Daten im Zusammenhang mit der Validierung der Nutzung des Dienstes betreffen. Hierzu zählen z.B. Name, Geburtsdatum und Postanschrift. Eine Europäische Herausgabeanordnung zur Erlangung von Teilnehmerdaten kann für alle Straftaten erlassen werden. Die Anordnung ist Richtern, einem Gericht, einem Ermittlungsrichter und der Staatsanwaltschaft vorbehalten, Art. 4 Abs. 1 lit. a. Im Falle einer Anordnung durch eine andere Behörde, ist die Europäische Herausgabeanordnung von einem Richter, einem Gericht, einem Ermittlungsrichter oder Staatsanwalt zu validieren, nachdem er bzw. es überprüft hat, ob die Voraussetzungen vorliegen, Art. 4 Abs. 1 lit. b.
1.2 Verkehrsdaten
Verkehrsdaten sind Daten, die Kontext- oder Zusatzinformationen über eine Dienstleistung liefern und von einem Informationssystem des Diensteanbieters generiert oder verarbeitet werden. Hierzu zählen z.B. Ursprung und Ziel der Nachricht. Eine Europäische Herausgabeanordnung zur Erlangung von Verkehrsdaten kann nur für die in Art. 5 Abs. 4 lit. a-c genannten Straftaten ergehen. Dazu zählen u.a. Straftaten, die im Höchstmaß mit Freiheitsstrafen von mindestens drei Jahren geahndet werden. Darüber hinaus unterliegt die Anordnung einem Richtervorbehalt (Art. 4 Abs. 2 lit. a). Im Falle einer Anordnung durch eine andere Behörde, ist die Europäische Herausgabeanordnung von einem Richter, einem Gericht oder einem Ermittlungsrichter zu validieren, nachdem er bzw. es überprüft hat, ob die Voraussetzungen vorliegen, Art. 4 Abs. 2 lit. b.
1.3 Inhaltsdaten
Inhaltsdaten sind alle Daten, die nicht Teilnehmer- oder Verkehrsdaten sind. Dazu zählen Textnachrichten, Bilder, Video- und Audioaufzeichnungen. Eine Europäische Herausgabeanordnung zur Erlangung von Inhaltsdaten kann nur für die in Art. 5 Abs. 4 lit. a-c genannten Straftaten ergehen. Hinsichtlich der Anordnungsbefugnis gelten die Ausführungen zu den Verkehrsdaten.
1.4 Benachrichtigungspflicht
Nach Art. 13 Abs. 1 sollen Personen, deren Daten angefordert werden, unverzüglich über die Herausgabe informiert werden. Nach Art. 13 Abs. 2 kann die Benachrichtigung aber aus ermittlungstaktischen, -sichernden Gründen eingeschränkt oder unterlassen werden.
Die Europäische Herausgabe- und Sicherungsanordnung wird in Form einer Bescheinigung an den Dienstanbieter übermittelt, Art. 9 Abs. 1.
Der Dienstanbieter ist bei der Europäischen Herausgabeanordnung verpflichtet, die Daten innerhalb einer zehntägigen Frist herauszugeben, Art. 10 Abs. 2, Abs. 3. In Notfällen spätestens innerhalb von acht Stunden, Art. 10 Abs. 4. Ein Notfall liegt z.B. vor, wenn eine unmittelbare Gefahr für das Leben, die körperliche Unversehrtheit oder die Sicherheit einer Person besteht, Art. 3 Nr. 18.
Bei der Europäischen Sicherungsanordnung besteht eine Sicherungspflicht von 60 Tagen, Art. 11 Abs. 1, S. 2. Die Frist kann um weitere 30 Tage verlängert werden, wenn dies erforderlich ist, um ein Ersuchen um Herausgabe zu ermöglichen, Art. 11 Abs. 1, S. 3 E-Evidence-VO.
Wer als Dienstanbieter zu qualifizieren ist, ergibt sich aus Art. 3 Nr. 3. Hiernach ist Dienstanbieter jede natürliche oder juristische Person, die eine oder mehrere der in der Verordnung aufgeführten Dienstleistungskategorien anbietet. Diese Dienstleistungskategorien sind nach Art. 3 Nr. 3
Der Sitz oder der Speicherort des Dienstanbieters ist irrelevant. Entscheidend für die Anwendbarkeit der E-Evidence-VO ist nur, ob der jeweilige Dienstanbieter seine Dienste in der EU anbietet.
Personen, deren Daten im Wege einer Europäischen Herausgabeanordnung angefordert werden, können nach Art. 18 Rechtsbehelfe einlegen und sind über die verfügbaren Rechtsbehelfe auch zu informieren (Art. 13 Abs. 3). Rechtsbehelfe gegen die Europäische Sicherungsanordnung sieht die E-Evidence-VO nicht vor. Auch Rechtsbehelfe für Dienstanbieter sieht die E-Evidence-VO nicht vor.
Formelle oder materielle Voraussetzungen nennt Art. 18 nicht. Vielmehr wird auf das nationale Recht verwiesen. Das wird zur Folge haben, dass die Rechtsbehelfe zwischen den Mitgliedsstaaten variieren werden.
Verstoßen Adressaten von Europäischen Herausgabe- und Sicherungsanordnungen gegen die Pflichten zur Herausgabe und Sicherung von Daten (nach Art. 10, 11 und 13 Abs. 4), drohen finanzielle Sanktionen. Nach Art. 15 Abs. 1 E-Evidence-VO müssen die Mitgliedsstaaten sicherstellen, dass Sanktionen i.H.v. mindestens 2% des im vorhergehenden Geschäftsjahr weltweit erzielten Jahresgesamtumsatzes des Dienstanbieters verhängt werden können.
Unternehmen sollten bei Erhalt einer Europäischen Herausgabe- oder Sicherungsanordnung die vorgenannten Voraussetzungen prüfen (siehe 1). Insbesondere ist zu prüfen, ob das Unternehmen Dienstanbieter im Sinne der E-Evidence-VO ist (siehe 2).
Liegen die Voraussetzungen für eine Europäische Herausgabe- oder Sicherungsanordnung vor, sind die Daten unverzüglich herauszugeben bzw. zu sichern. Liegen die Voraussetzungen allerdings nicht vor, können nur Personen, deren Daten im Wege der Europäischen Herausgabeanordnung angefordert wurden, von den (eingeschränkten) Rechtsbehelfsmöglichkeiten Gebrauch machen (siehe 3).
Wegen der kurzen Reaktionsfristen sollten Unternehmen bei Bedarf bestehende Systeme und Prozesse zur Herausgabe und Sicherung von Daten überarbeiten. Dies kann bedeuten, dass Datenmanagement- und Archivierungspraktiken anzupassen sind. Um den neuen Anforderungen gerecht zu werden, müssen möglicherweise Mitarbeiter in den Bereichen IT-Sicherheit und Datenschutz geschult und sensibilisiert werden.
Dr. Oliver Ofosu-Ayeh
